Asset-Register · Cenedril Wiki

Das Asset-Register dokumentiert sämtliche Informationswerte deiner Organisation — von Servern und Anwendungen über Datenbanken bis hin zu Geschäftsprozessen und Standorten. Ohne dieses Inventar fehlt die Grundlage für jede Risikoanalyse, denn du kannst nur schützen, was du kennst.

ISO 27001 fordert in Control A.5.9 ein aktuelles Inventar aller Informationswerte mit eindeutiger Zuordnung zu verantwortlichen Personen. BSI IT-Grundschutz verlangt eine vergleichbare Strukturanalyse als ersten Schritt der Schutzbedarfsfeststellung.

Was enthält die Vorlage?

Die CSV-Vorlage bildet ein Asset-Inventar ab, das auditfest und gleichzeitig handhabbar ist. Die wichtigsten Spalten:

Asset-ID und Name — eindeutige Kennung und sprechende Bezeichnung
Kategorie — Hardware, Software, Daten, Prozess, Personal, Standort
Verantwortliche Person — namentlich benannt, mit Rolle und Organisationseinheit
Klassifizierung — Vertraulichkeit, Integrität und Verfügbarkeit auf einer Skala (z. B. niedrig / mittel / hoch)
Standort und Umgebung — wo befindet sich das Asset physisch oder logisch?
Abhängigkeiten — welche anderen Assets oder Dienste hängen davon ab?

So nutzt du das Register

Erstbefüllung im Workshop. Lade Verantwortliche aus IT, Fachabteilungen und Geschäftsleitung ein. Drei Stunden reichen für die erste Version. Jede Person benennt die Informationswerte in ihrem Verantwortungsbereich, ordnet eine Kategorie zu und schätzt den Schutzbedarf ein. Das Ergebnis ist ein lebendiges Dokument mit 30–80 Einträgen (je nach Organisationsgröße).

Pflege über den Lebenszyklus. Binde das Asset-Register an deinen Change-Management-Prozess. Jede Neuanschaffung, Abschaltung oder Verantwortungsänderung löst eine Aktualisierung aus. Einmal jährlich prüfst du im Management-Review, ob das Inventar vollständig ist — typischerweise fallen dabei verwaiste Einträge auf, deren verantwortliche Person die Organisation längst verlassen hat.

Verknüpfung mit der Risikoanalyse. Jede Zeile im Asset-Register wird in der Risikoanalyse auf Bedrohungen und Schwachstellen geprüft. Je sauberer das Inventar, desto effizienter die Analyse. Lücken im Register bedeuten blinde Flecken in der Risikolandschaft.

ID	Asset-Name	Typ	Kategorie	Eigentümer	Verwalter	Standort	Klassifizierung	Kritikalität	Umgebung	Beschreibung	Status
AST-001	Kundendatenbank (Prod)	Information	Datenbank	Vertriebsleitung	IT-Betrieb	AWS eu-central-1	Vertraulich	Hoch	Produktion	Primärer Kundendatenspeicher (PostgreSQL 15)	Aktiv
AST-002	Logistikportal (SaaS)	Anwendung	SaaS	Operationsleitung	Anbieter	Anbieter-Cloud	Vertraulich	Hoch	Produktion	Kundenseitiges Logistik-Tracking-Portal	Aktiv
AST-003	M365-Tenant	Dienst	Cloud	ISB	IT-Betrieb	Microsoft Cloud EU	Intern	Hoch	Produktion	E-Mail Zusammenarbeit und Dateispeicherung	Aktiv
AST-004	Fileserver FS-01	Hardware	Server	IT-Betriebsleitung	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Hoch	Produktion	On-Prem SMB-Fileshare	Aktiv
AST-005	Domain Controller DC01 DC02	Hardware	Server	IT-Betriebsleitung	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Kritisch	Produktion	Active Directory Domain Controller	Aktiv
AST-006	Laptops (Flotte)	Hardware	Endgerät	IT-Betriebsleitung	IT-Betrieb	Verteilt	Intern	Mittel	Produktion	145 verwaltete Windows- und macOS-Laptops	Aktiv
AST-007	ERP-System	Anwendung	On-Prem	CFO	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Hoch	Produktion	SAP Business One	Aktiv
AST-008	Backup-System Veeam	Anwendung	On-Prem	IT-Betriebsleitung	IT-Betrieb	HQ Hamburg RZ + Offsite	Vertraulich	Kritisch	Produktion	Zentrales Backup mit Offsite-Replikation	Aktiv
AST-009	SIEM (Splunk)	Anwendung	On-Prem	ISB	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Hoch	Produktion	Log-Aggregation und Erkennung	Aktiv
AST-010	Firewall-Cluster FW-01/02	Hardware	Netzwerk	IT-Betriebsleitung	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Kritisch	Produktion	Perimeter-Firewall HA-Paar (Fortinet)	Aktiv
AST-011	VPN-Gateway	Hardware	Netzwerk	IT-Betriebsleitung	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Hoch	Produktion	Remote-Access-Gateway	Aktiv
AST-012	S3-Bucket nwl-marketing	Information	Cloud-Speicher	Marketingleitung	IT-Betrieb	AWS eu-central-1	Intern	Mittel	Produktion	Marketing-Assets (Public Read deaktiviert)	Aktiv
AST-013	CI/CD-Pipeline (GitLab)	Anwendung	On-Prem	Head of Engineering	IT-Betrieb	HQ Hamburg RZ	Vertraulich	Hoch	Produktion	Quellcodeverwaltung und Build-Pipeline	Aktiv
AST-014	Mobiltelefone (Flotte)	Hardware	Endgerät	IT-Betriebsleitung	IT-Betrieb	Verteilt	Intern	Mittel	Produktion	38 verwaltete iOS-Geräte	Aktiv
AST-015	HR-Datenbank (Personio)	Information	SaaS	HR-Leitung	Anbieter	Personio EU	Vertraulich	Hoch	Produktion	Mitarbeiter-Stammdaten	Aktiv
AST-016	Physisches HQ-Gebäude	Einrichtung	Gebäude	Facility-Leitung	Facility	Hamburg	Intern	Hoch	Produktion	Hauptbüro 1200 qm + Serverraum	Aktiv
AST-017	Lohndaten	Information	Datei	HR-Leitung	HR	Personio + lokales Archiv	Streng vertraulich	Hoch	Produktion	Monatliche Lohnabrechnungen	Aktiv
AST-018	Vertragsarchiv	Information	Datei	Legal	Legal	M365 SharePoint	Vertraulich	Mittel	Produktion	Unterschriebene Verträge	Aktiv

ID	Asset Name	Type	Category	Owner	Custodian	Location	Classification	Criticality	Environment	Description	Status
AST-001	Customer database (prod)	Information	Database	Head of Sales	IT Operations	AWS eu-central-1	Confidential	High	Production	Primary customer record store (PostgreSQL 15)	Active
AST-002	Logistics portal (SaaS)	Application	SaaS	Head of Ops	Vendor	Vendor cloud	Confidential	High	Production	Customer-facing logistics tracking portal	Active
AST-003	M365 tenant	Service	Cloud	ISO	IT Operations	Microsoft cloud EU	Internal	High	Production	Email collaboration and file storage	Active
AST-004	File server FS-01	Hardware	Server	IT Operations Lead	IT Operations	HQ Hamburg DC	Confidential	High	Production	On-prem SMB file share	Active
AST-005	Domain controllers DC01 DC02	Hardware	Server	IT Operations Lead	IT Operations	HQ Hamburg DC	Confidential	Critical	Production	Active Directory domain controllers	Active
AST-006	Laptops (fleet)	Hardware	Endpoint	IT Operations Lead	IT Operations	Distributed	Internal	Medium	Production	145 managed Windows + macOS laptops	Active
AST-007	ERP system	Application	On-prem	CFO	IT Operations	HQ Hamburg DC	Confidential	High	Production	SAP Business One	Active
AST-008	Backup system Veeam	Application	On-prem	IT Operations Lead	IT Operations	HQ Hamburg DC + offsite	Confidential	Critical	Production	Central backup with offsite replication	Active
AST-009	SIEM (Splunk)	Application	On-prem	ISO	IT Operations	HQ Hamburg DC	Confidential	High	Production	Log aggregation and detection	Active
AST-010	Firewall cluster FW-01/02	Hardware	Network	IT Operations Lead	IT Operations	HQ Hamburg DC	Confidential	Critical	Production	Perimeter firewall HA pair (Fortinet)	Active
AST-011	VPN gateway	Hardware	Network	IT Operations Lead	IT Operations	HQ Hamburg DC	Confidential	High	Production	Remote access gateway	Active
AST-012	S3 bucket nwl-marketing	Information	Cloud storage	Marketing Lead	IT Operations	AWS eu-central-1	Internal	Medium	Production	Marketing assets (public-read disabled)	Active
AST-013	CI/CD pipeline (GitLab)	Application	On-prem	Head of Engineering	IT Operations	HQ Hamburg DC	Confidential	High	Production	Source control and build pipeline	Active
AST-014	Mobile phones (fleet)	Hardware	Endpoint	IT Operations Lead	IT Operations	Distributed	Internal	Medium	Production	38 managed iOS devices	Active
AST-015	HR database (Personio)	Information	SaaS	HR Lead	Vendor	Personio EU	Confidential	High	Production	Employee master data	Active
AST-016	Physical HQ building	Facility	Building	Facilities Lead	Facilities	Hamburg	Internal	High	Production	Main office 1200 sqm + server room	Active
AST-017	Payroll data	Information	File	HR Lead	HR	Personio + local archive	Strictly Confidential	High	Production	Monthly payroll records	Active
AST-018	Contract archive	Information	File	Legal	Legal	M365 SharePoint	Confidential	Medium	Production	Signed contracts	Active

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.9 — Inventarisierung von Informationswerten
ISO/IEC 27002:2022 Abschnitt 5.9 — Umsetzungshinweise zur Inventarisierung
BSI IT-Grundschutz, Strukturanalyse — Erfassung von Zielobjekten als Grundlage der Schutzbedarfsfeststellung

Häufig gestellte Fragen

Was zählt als Informationswert (Asset)?

Alles, was für deine Organisation einen Wert hat und geschützt werden muss: Server, Anwendungen, Datenbanken, aber auch Geschäftsprozesse, Räumlichkeiten und Dienstleister. ISO 27001 unterscheidet primäre Assets (Informationen und Prozesse) und unterstützende Assets (Hardware, Software, Netzwerk, Personal, Standorte).

Wie granular muss das Register sein?

Granular genug, damit jede Zeile einem klaren Schutzbedarf und einer verantwortlichen Person zugeordnet werden kann. Ein Eintrag 'alle Laptops' ist zu grob, wenn verschiedene Abteilungen unterschiedliche Daten darauf verarbeiten. Ein Eintrag pro Seriennummer ist in den meisten Fällen zu fein. Die richtige Ebene liegt dort, wo Risiken sinnvoll bewertet werden können.

Wie oft muss ich das Asset-Register aktualisieren?

Bei jeder wesentlichen Änderung — neue Systeme, Abschaltungen, Umzüge, Verantwortungswechsel — und mindestens einmal jährlich im Rahmen des ISMS-Reviews. Viele Organisationen koppeln die Aktualisierung an den Change-Management-Prozess, damit neue Assets automatisch erfasst werden.

Was enthält die Vorlage?

So nutzt du das Register

Quellen

Abgedeckte ISO-27001-Kontrollen

Häufig gestellte Fragen